Ресурсы

Раздел предназначен для работы с ресурсами — объектами, к которым требуется получить доступ от имени учетных записей, хранящихся в Indeed PAM. К ресурсам относятся Windows- и Linux-серверы, рабочие станции, СУБД, сетевое оборудование, веб-сайты или клиентские приложения.

Профиль ресурса

Для каждого ресурса отображаются:

• Пользовательские подключения — список подключений для установки соединения с ресурсом.
  Для каждого ресурса можно создать несколько пользовательских подключений. Это необходимо при наличии на сервере нескольких приложений, требующих привилегированного доступа.
• Разрешения — список выданных разрешений для подключения к ресурсу.
• Локальные учетные записи — список учетных записей, которые используются для открытия сессии на ресурсе.
• Группы ресурсов — список групп, в которые добавлен ресурс.
• Сессии — список активных, завершенных и прерванных сессий на ресурсе.
• События — записи об операциях, связанных с ресурсом.
• Службы — список приложений, которые могут запускаться автоматически при запуске операционной системы. Вкладка отображается, если у связанного ресурса есть настроенное сервисное подключение для Windows.

Найти ресурс

Введите в поисковую строку имя ресурса, DNS-имя, IP-адрес, адрес подключения или тег и нажмите .

Нажмите Расширенный поиск, введите один или несколько запросов и нажмите Найти.

Добавить ресурс

Чтобы подключиться к ресурсу, его необходимо добавить в Indeed PAM. Это можно сделать следующими способами:

• Вручную в консоли администратора PAM.
• Автоматически с помощью CSV-файла, если требуется одновременно добавить несколько ресурсов.

Добавить вручную

1. Перейдите в раздел Ресурсы и нажмите Добавить.

2. Заполните поле Имя ресурса.
   Для ресурсов с ОС Windows укажите имя компьютера.

3. Заполните поле DNS-имя и/или IP-адрес.

4. Введите описание и нажмите Вперед.

5. Выберите тип пользовательского подключения.

6. Выберите Адрес подключения:

   • Наследовать из ресурса — адрес подключения дублирует DNS-имя, URL- или IP-адрес ресурса.
   • Указать вручную — адрес подключения задается вручную в формате https://app.local:port или https://app.local.

7. Заполните поле Порт.

8. Укажите дополнительные параметры в зависимости от выбранного типа подключения:

   PostgreSQL или MSSQL

   Заполните поле База данных по умолчанию.
   Выбор базы по умолчанию не ограничивает доступ пользователя к другим базам данных на этом ресурсе. Доступные базы определяются правами учетной записи СУБД, указанной в разрешении.

   SSH

   Задайте Отпечаток SSH-ключа:

   • Получить с ресурса — используйте отпечаток SSH-ключа с ресурса.
   • Указать вручную — выберите алгоритм и введите отпечаток в формате SHA256.
   RDP

   (Опционально) Включите опцию Запустить как администратор.
   RDP-сессия откроется с параметром /admin. Пользователь получит доступ к административной консоли и сможет выполнять команды, требующие повышенных привилегий.

   Собственный тип пользовательского подключения

   Примечание

   Добавить собственный тип пользовательского подключения можно в разделе Конфигурация → Пользовательское подключение.

   1. (Опционально) В поле URL страницы входа укажите URL-адрес, на который нужно перейти при запуске веб-сессии.

   2. (Опционально) Включите опцию Регулярное выражение, если при переходе на указанную страницу в URL-адрес динамически добавляются параметры запроса.
      В поле URL страницы входа укажите регулярное выражение, соответствующее адресу страницы.

      Пример

      Сессия открывается по адресу https://app.org/mainpage.
      
      При переходе по ссылке к URL динамически добавляются параметры theme и page.
      Адрес страницы принимает вид https://app.org/mainpage/?theme=dark&page=dashboard.
      
      Чтобы перейти на нужный адрес, включите опцию Регулярное выражение и в поле URL страницы входа укажите регулярное выражение, соответствующее адресу страницы.
      Например: https://app.org/mainpage*, где символ * заменяет дополнительные параметры в строке запроса.

9. (Опционально) Включите опцию Использовать коннектор для сервисного подключения и настройте сервисное подключение. На следующем шаге выберите сервисную учетную запись.

10. Нажмите Вперед.

11. Проверьте введенные данные и нажмите Сохранить.

Добавить из файла

1. Создайте файл в формате CSV по следующему шаблону:

   Name;Description;DNS name;IP address;UC type;UC address;UC port;UC matching url;UC matching url is regex;SC account name;SC type;SC SSH template;SC address;SC port;Cisco privilege mode password
   Параметры

   Параметр	Требование	Описание
   Name	Обязательный	Имя ресурса
   Description	Необязательный	Описание
   DNS name или IP address	Обязательный	DNS-имя или IP-адрес ресурса. Можно указать один из параметров.
   UC type	Обязательный	Тип пользовательского подключения. Подробнее о типах читайте в разделе Пользовательское подключение.
   UC address	Необязательный	IP-адрес или DNS-имя пользовательского подключения
   UC port	Необязательный	Порт пользовательского подключения
   UC matching url	Необязательный	URL-адрес страницы входа для веб-ресурса
   UC matching url is regex	Необязательный	URL-адрес страницы входа является регулярным выражением. Возможные значения: true false Укажите, если задан параметр UC matching url.
   SC account name	Необязательный	Имя сервисной учетной записи
   SC type	Необязательный	Тип сервисного подключения. Подробнее о типах читайте в разделе Сервисное подключение.
   SC SSH template	Необязательный	Имя шаблона SSH-коннектора. Укажите, если выбран тип сервисного подключения SSH.
   SC address	Необязательный	IP-адрес или DNS-имя сервисного подключения
   SC port	Необязательный	Порт для сервисного подключения
   Cisco privilege mode password	Необязательный	Пароль для привилегированного входа Cisco. Укажите, если задан тип сервисного подключения Cisco IOS.

   Пример CSV-файла

   APP01;Application server;app01.local;;RDP;;;;;DOMAIN\svc_app;Windows;;;;
   WEB01;Corporate website;portal.local;;WebTemplate;https://portal.local/;;https://portal.local/login;FALSE;DOMAIN\svc_web;Windows;;;;
   SSH01;Linux server;;192.168.0.50;SSH;;;;;;;;;;

2. В консоли администратора перейдите в раздел Ресурсы.

3. Нажмите Добавить из файла.

4. В открывшемся окне нажмите Выбрать и загрузите CSV-файл.

5. (Опционально) Включите опцию Добавлять с политикой, если для ресурсов требуется определить политику.

6. Нажмите Сохранить

Добавить ресурс в группу

Группы позволяют организовать работу в консоли. Сгруппируйте ресурсы по нужному признаку, например по отделу или типу подключения.

Чтобы добавить ресурс в группу:

1. Откройте профиль ресурса и перейдите на вкладку Группы ресурсов.
2. Нажмите Добавить группу ресурсов.
3. Выберите группу и нажмите Вперед.
4. Выберите одно или несколько пользовательских подключений и нажмите Вперед.
5. Проверьте данные и нажмите Добавить.

Добавить службу

Примечание

Вкладка Службы отображается, если у ресурса настроено сервисное подключение для Windows.

Добавьте в PAM службы, которые запускаются от имени учетных записей, управляемых PAM. Эти службы автоматически получат актуальный пароль учетной записи при его смене через PAM.

Чтобы добавить службу:

1. Откройте профиль ресурса и перейдите на вкладку Службы.
2. Введите имя службы и описание.
3. (Опционально) Задайте опцию Перезапускать службу при смене пароля службы.
   Если сменить пароль учетной записи в Indeed PAM, пароль службы, связанной с этой учетной записью, также меняется. Включите эту опцию, чтобы при смене паролей служба перезапускалась.
4. Нажмите Вперед.
5. Выберите учетную запись для службы и нажмите Вперед.
6. Проверьте данные и нажмите Добавить.

Выбрать политику

Политика регулирует действия пользователя на ресурсе. Например, можно ограничить работу буфера обмена или разрешить выполнение определенных SSH-команд.

Один ресурс

Чтобы установить политику:

1. Откройте профиль ресурса и нажмите напротив параметра Политика.
2. В появившемся окне выберите политику и нажмите Выбрать.

Несколько ресурсов

Чтобы установить политику для нескольких ресурсов:

1. Перейдите в раздел Ресурсы и выберите нужные ресурсы.
2. Нажмите Установить политику.
3. Выберите политику и нажмите Выбрать.
4. Нажмите Установить, чтобы подтвердить выбор политики.

Установить подразделение

Один ресурс

Чтобы установить подразделение:

1. Перейдите в раздел Ресурсы и откройте профиль ресурса.
2. Нажмите Переместить.
3. В появившемся окне выберите подразделение и нажмите ОК.

Несколько ресурсов

Чтобы установить подразделение для нескольких ресурсов:

1. Перейдите в раздел Ресурсы и выберите нужные ресурсы.
2. Нажмите Установить подразделение.
3. Выберите подразделение и нажмите ОК.
4. Нажмите Установить, чтобы подтвердить выбор подразделения.

Добавить и удалить тег

Теги помогают организовать работу в PAM. Если у вас еще нет тегов, создайте их в разделе Конфигурация.

Один ресурс

Чтобы добавить теги ресурсу:

1. Откройте профиль ресурса и нажмите    рядом с полем Теги.
2. Выберите один или несколько тегов и нажмите Вперед.
3. Проверьте данные и нажмите Добавить.

Несколько ресурсов

Чтобы добавить теги для нескольких ресурсов:

1. В разделе Ресурсы выберите нужные ресурсы и нажмите Добавить теги.
2. Выберите один или несколько тегов и нажмите Вперед.
3. Проверьте данные и нажмите Добавить.

Чтобы удалить тег, в профиле ресурса нажмите    рядом с нужным тегом и подтвердите действие.

Добавить пользовательское подключение

Добавьте пользовательское подключение, чтобы открывать сессии по различным протоколам.

1. Откройте профиль ресурса.

2. На вкладке Пользовательские подключения нажмите Добавить пользовательское подключение.

3. Выберите тип подключения.

4. Выберите адрес подключения:

   • Наследовать из ресурса — адрес подключения дублирует DNS-имя, URL- или IP-адрес ресурса.
   • Указать вручную — адрес подключения задается вручную в формате https://app.local:port или https://app.local.

5. (Опционально) Укажите порт, если он отличается от порта по умолчанию.

6. Укажите дополнительные параметры в зависимости от выбранного типа подключения:

   PostgreSQL или MSSQL

   Заполните поле База данных по умолчанию.
   Выбор базы по умолчанию не ограничивает доступ пользователя к другим базам данных на этом ресурсе. Доступные базы определяются правами учетной записи СУБД, указанной в разрешении.

   SSH

   Задайте Отпечаток SSH-ключа:

   • Получить с ресурса — используйте отпечаток SSH-ключа с ресурса.
   • Указать вручную — выберите алгоритм и введите отпечаток в формате SHA256.
   RDP

   (Опционально) Включите опцию Запустить как администратор.
   RDP-сессия откроется с параметром /admin. Пользователь получит доступ к административной консоли и сможет выполнять команды, требующие повышенных привилегий.

   Собственный тип пользовательского подключения

   Примечание

   Добавить собственный тип пользовательского подключения можно в разделе Конфигурация → Пользовательское подключение.

   1. (Опционально) В поле URL страницы входа укажите URL-адрес, на который нужно перейти при запуске веб-сессии.

   2. (Опционально) Включите опцию Регулярное выражение, если при переходе на указанную страницу в URL-адрес динамически добавляются параметры запроса.
      В поле URL страницы входа укажите регулярное выражение, соответствующее адресу страницы.

      Пример

      Сессия открывается по адресу https://app.org/mainpage.
      
      При переходе по ссылке к URL динамически добавляются параметры theme и page.
      Адрес страницы принимает вид https://app.org/mainpage/?theme=dark&page=dashboard.
      
      Чтобы перейти на нужный адрес, включите опцию Регулярное выражение и в поле URL страницы входа укажите регулярное выражение, соответствующее адресу страницы.
      Например: https://app.org/mainpage*, где символ * заменяет дополнительные параметры в строке запроса.

7. Нажмите Сохранить.

Добавить разрешение

Разрешения позволяют пользователям подключаться к ресурсам.

Чтобы добавить разрешение:

1. Откройте профиль ресурса и нажмите Добавить разрешение.
2. Выберите пользователей или группу пользователей и нажмите Вперед.
3. Выберите одно или несколько подключений и нажмите Вперед.
4. Выберите учетную запись:
   • Выбрать УЗ в PAM — учетная запись, от имени которой пользователь открывает сессию на ресурсе.
   • Пользовательская УЗ — в разрешении не указывается учетная запись.
     Пользователь вводит логин и пароль учетной записи на ресурсе. В RDP- и SSH-сессиях можно войти с текущими учетными данными пользователя Indeed PAM.
5. Настройте Ограничения времени и нажмите Вперед.
6. Настройте Параметры разрешения и нажмите Вперед.
7. Заполните поле Описание и нажмите Вперед.
8. Проверьте данные и нажмите Создать.

Добавить учетную запись

Информация

При добавлении учетной записи с настроенным подключением SSH можно задать пароль и SSH-ключ.
При добавлении учетных записей ОС Windows и СУБД можно задать только пароль.

Добавьте в PAM локальные учетные записи ресурса, которые могут использоваться для предоставления доступа на ресурс.

Чтобы добавить учетную запись в Indeed PAM:

1. Перейдите на вкладку Локальные учетные записи и нажмите Добавить локальную учетную запись.

2. Введите Имя учетной записи и Описание.

3. На шаге настройки пароля выберите одну из опций:

   • Сгенерировать случайный пароль — пароль создается автоматически и синхронизируется с ресурсом или доменом.
   • Задать пароль вручную — пароль задается в ручном режиме.
     Введите пароль и подтвердите его.
     Чтобы пароль учетной записи сменился не только в PAM, но и на ресурсе или домене, включите опцию Изменить пароль на ресурсе или Изменить пароль в домене.
   • Не задавать — учетная запись создается без пароля, его можно задать позже при редактировании.

4. Нажмите Вперед.

5. На шаге настройки SSH-ключа выберите одну из опций:

   • Сгенерировать новый SSH-ключ — ключ создается автоматически и синхронизируется с ресурсом или доменом. Выберите криптографический алгоритм для генерации ключа: Ed25519 или RSA.

   • Задать SSH-ключ вручную — ключ задается в ручном режиме. Выберите файл SSH-ключа и введите его пароль. Поддерживаются ключи RSA в форматах OpenSSH и PEM, а также Ed25519 в формате OpenSSH.
     

     Как сгенерировать SSH-ключ?

     Чтобы создать SSH-ключ и записать его в файл, воспользуйтесь программой PuTTYgen или одной из команд:

     Ключ RSA в формате OpenSSH

     ssh-keygen -t rsa -b 4096 -f id_rsa_openssh -C "RSA OpenSSH key"

     Ключ RSA в формате PEM

     ssh-keygen -t rsa -b 4096 -f id_rsa_pem -C "RSA PEM key" -m PEM

     Ключ Ed25519 в формате OpenSSH

     ssh-keygen -t ed25519 -f id_ed25519_openssh -C "Ed25519 OpenSSH key"

     Чтобы SSH-ключ учетной записи сменился не только в PAM, но и на ресурсе или домене, включите опцию Изменить SSH-ключ на ресурсе или Изменить SSH-ключ в домене.

   • Не задавать — учетная запись создается без SSH-ключа, его можно установить позже при редактировании.

6. Нажмите Вперед.

7. Проверьте данные и нажмите Сохранить

Проверить соединение

Проверяется сетевая доступность ресурса, корректность адреса, имени и пароля сервисной учетной записи.

Чтобы проверить доступность ресурса, перейдите в его профиль и нажмите Проверить соединение.
Чтобы проверить несколько ресурсов, в разделе Ресурсы выберите нужные ресурсы и нажмите Проверить соединение.

Синхронизировать

Синхронизация доступна только для ресурсов с настроенным сервисным подключением и позволяет получить:

• корректное имя ресурса, версию операционной системы или СУБД;
• локальные учетные записи и группы безопасности, в которых они состоят.

Чтобы синхронизировать ресурс, перейдите в его профиль и нажмите Синхронизировать.

Если во время синхронизации найдены новые учетные записи, они добавляются в PAM и отмечаются . Чтобы продолжить работать с этими записями, предоставьте PAM их пароли или сбросьте их на случайное значение.
Подробнее о подтверждении — в разделе Учетные записи.

Заблокировать

Блокировка позволяет приостановить действие всех разрешений, в которых используется этот ресурс. Заблокированный ресурс отмечен , а разрешения, выданные на этот ресурс, отмечены .

Чтобы заблокировать ресурс, перейдите в его профиль и нажмите Заблокировать.

Удалить ресурс

Перед удалением ресурса требуется удалить все учетные записи, которые были добавлены из удаляемого ресурса.

предупреждение

При удалении ресурса все связанные с ним службы также удалятся без возможности восстановления.
Удаленные службы перестают отображаться в разделе Службы, но их можно просмотреть с помощью расширенного поиска.

Чтобы удалить ресурс:

1. Откройте профиль ресурса.
2. Нажмите Удалить.

Чтобы удалить несколько ресурсов, в разделе Ресурсы выберите нужные ресурсы и нажмите Удалить.

Восстановить ресурс

предупреждение

При восстановлении ресурса связанные с ним службы не восстанавливаются. Информацию по удаленным службам можно просмотреть с помощью расширенного поиска в разделе Службы.

Чтобы восстановить ресурс:

1. В разделе Ресурсы нажмите Расширенный поиск.
2. Заполните поле Имя ресурса, DNS-имя или IP-адрес.
3. В поле Состояние выберите Удален и нажмите Найти.
4. Откройте профиль ресурса и нажмите Восстановить.
5. Введите причину восстановления и нажмите Восстановить.